Cybertarcza - ruskill.trojan

[noname]

Witam serdecznie,

 

U mnie podobnie jak u poprzedników. Wczoraj wieczorem blokada internetu. W sieci w sumie 3 komputery, ale jeden używany przez ojca, który średnio ogarnia co mu się tam wyświetla i dopóki komputer działa to nie ma problemu. W związku z czym wszelkie aktualizacje m.in wtyczek i wszelkie porządki robione są rzadko.

Wszystkie kompy przejechałem testową wersja Eset smart security oraz adwcleanerem. 

Pozostałe 2 komputery są w miarę ok, a tutaj wrzucam logi tego najbardziej zaniedbanego i proszę o poradę. 

 

eset smart.txt FRST.txt Addition.txt Shortcut.txt

[picasso]

Tak jak w poprzednich przypadkach, nie ma oznak aktywnej infekcji. Wyniki ESET zupełnie nie powiązane, to rekordy związane z instalacjami adware/PUP i to mocno starymi, wliczając też kwarantanny C:\AdwCleaner i C:\Qoobox których nigdy nie wyczyszczono. Do wykonania tylko poboczne działania, czyli deinstalacja starych wersji (zagrożenie infekcjami szyfrującymi dane) i zbędnych programów ASUS oraz czyszczenie wpisów szczątkowych.

 

1. Deinstalacje:

- Przez Panel sterowania: Acrobat.com, Adobe AIR, Adobe Reader 9.5.2 MUI, ASUS WebStorage, AsusVibe2.0, Java 6 Update 22, Theorica Divx ;-) Codecs (remove only), Visual Studio 2012 x86 Redistributables. Ten ostatni to komponent odinstalowanego już AVG. A Thunderbird jest okropnie stary, albo deinstalacja, albo aktualizacja.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty odpadek Trend Micro Titanium.

 

2. Usunięcie wpisów odpadkowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
SearchScopes: HKLM -> DefaultScope - brak wartości
CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617
Task: {2E69DF63-73E1-41F6-A751-7977CAA026C1} - System32\Tasks\{20DBC627-C3CA-4B42-9BD0-29E95B42EE05} => \Dominik_dell\d\Uruchom.exe
Task: {58301E83-131E-40FD-99F7-B07BA0B9CA7C} - System32\Tasks\{78DA5E63-F4C3-411F-A084-01D1AFCBF2E5} => E:\autorun.exe
Task: {7A310A88-107F-4202-9E24-2D77FA66BCA8} - System32\Tasks\{870B0018-EEF8-4EF9-A729-EBC4F7CBBDC1} => E:\autorun.exe
Task: {8BCA9856-3D85-43B8-B565-F111AC6DCE7E} - System32\Tasks\{C5A51FF6-49B3-495A-BF4E-FCC9371CBCCA} => E:\autorun.exe
Task: {9751DF91-1512-4E9A-BA67-C4F11991D589} - System32\Tasks\{CA648AE2-9DF1-4386-BC88-F0243BAD134A} => E:\autorun.exe
Task: {9FF1C330-0BD9-4726-9DAB-8CD6927C8208} - System32\Tasks\{73A661B3-54C3-4165-929B-BFAB4BAB76E2} => pcalua.exe -a C:\Users\admin\Downloads\avira_free_antivirus_en.exe -d "C:\Program Files\Mozilla Firefox"
Task: {A7FF5BDC-8542-4626-B1D8-21FC36E723AC} - System32\Tasks\{7AFE7BDB-CB83-4EEF-9074-229118BF0EB9} => pcalua.exe -a "C:\Program Files\Asus\Game Park\Chicken Invaders 2\Uninstall.exe" -c "C:\Program Files\Asus\Game Park\Chicken Invaders 2\install.log"
Task: {B3959A8E-7601-46EC-9DB6-6F35FB5BD72D} - System32\Tasks\{5584FB26-D03F-4A4F-9109-71F88C7F4BDF} => E:\autorun.exe
Task: {C85B5225-2FA2-417D-9257-29F35E78FE26} - System32\Tasks\{FCE477FE-90D9-4AB9-B0B2-28A376503194} => E:\autorun.exe
Task: {DC315AAD-6431-45C4-A43D-56BF179716FB} - System32\Tasks\{E9BCCC73-CA73-418D-B2AF-80416EB1A164} => E:\autorun.exe
Task: {DFC01635-58B3-4909-A520-67E425D0F395} - System32\Tasks\{8602072A-632F-4490-BAA8-432341B0A069} => E:\autorun.exe
Task: {E317EC6A-5AB6-49D4-A87E-03478DDEED41} - System32\Tasks\{14204EBA-F687-44D3-9603-988ADE8271EB} => \Dominik_dell\d\Uruchom.exe
Task: {E70499BA-1832-4F4D-BFF5-8772274A4FC2} - System32\Tasks\{48848CF3-57BC-4E2D-BF9C-AB188C01D8A1} => \Dominik_dell\d\Uruchom.exe
Task: {E793C400-46DE-43E0-8B63-89B192B1EFE1} - System32\Tasks\{71B270CE-0DB2-45F2-A6F4-5071714D43E3} => E:\autorun.exe
Task: {FD1F4E69-BC21-4383-80A7-2BD7558A4F70} - System32\Tasks\{E795B3B0-C97D-4CA0-A442-8A323097449D} => E:\autorun.exe
U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\Users\admin\AppData\Local\Temp\catchme.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\$AVG
RemoveDirectory: C:\Program Files\AVG
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\admin\AppData\Local\Avg
RemoveDirectory: C:\Users\admin\AppData\Local\AvgSetupLog
RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
RemoveDirectory: C:\Users\TEMP
RemoveDirectory: C:\Users\TEMP.netbook_blues
C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Komunikator Tlen.pl.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Word\Tomasz%20Kałowy%20-%20praca%20seminaryjna303948823627502616\Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk
C:\Users\Ania\AppData\Roaming\Microsoft\Word\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna303952223447065726\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk
C:\Users\Dominik\Desktop\Komunikator Tlen.pl.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Komunikator Tlen.pl.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Spis%20załączników%20-%20finał302363763206674323\Spis%20załączników%20-%20finał.docx.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Dok1302367081091250192\Dok1.docx.lnk
C:\Users\Krzysztof\Desktop\Komunikator Tlen.pl.lnk
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. W systemie są aż 4 konta:

 

==================== Konta użytkowników: =============================

admin (S-1-5-21-1057800693-3350837012-1661647793-1004 - Administrator - Enabled) => C:\Users\admin
Ania (S-1-5-21-1057800693-3350837012-1661647793-1003 - Limited - Enabled) => C:\Users\Ania
Dominik (S-1-5-21-1057800693-3350837012-1661647793-1000 - Limited - Enabled) => C:\Users\Dominik
Krzysztof (S-1-5-21-1057800693-3350837012-1661647793-1005 - Administrator - Enabled) => C:\Users\Krzysztof

 

Każde musi zostać sprawdzone z osobna. Czyli po kolei loguj się na każde poprzez pełny restart systemu, a nie funkcję Wyloguj czy Przełącz użytkownika, i na każdym zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dołącz też plik fixlog.txt.

 

[noname]

Ok, zrobiłem wszystko po kolei zgodnie z zaleceniami. Konta 3 i 4 są praktycznie nie używane.

 

Logi

 

 

Fixlog.txt FRST1.txt Addition1.txt FRST2.txt Addition2.txt FRST3.txt Addition3.txt FRST4.txt Addition4.txt

[picasso]

OPERACJE NA KONCIE ANIA:

 

Tu są ślady starej infekcji ransom blokującej dostęp do systemu - tzn. odpadkowy wpis skype.dat. Infekcja ta wślizgiwała się w system poprzez exploity starych wersji Java.

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\...\Winlogon: [Shell] explorer.exe,C:\Users\Ania\AppData\Roaming\skype.dat <==== UWAGA
HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

2. Wyczyść też Firefox ze starych rozszerzeń, wykonując te same kroki co podane poprzednio. Po resecie Firefox przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, a przy okazji i ten z FRST.

 

 

OPERACJE NA KONCIE ADMIN:

 

1. W międzyczasie doinstalował się firmowy Asusowy śmieć, czyli Bing Bar. Odinstaluj go. Przegapiłam też, że OpenOffice.org 3.3 do aktualizacji.

 

2. Następnie końcowy skrypt do FRST o zawartości:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
Task: {B7817FBA-7A69-4F73-B6FC-E3CCD0D61D98} - System32\Tasks\{7788381F-8EEA-443D-91ED-44295FE8972F} => Firefox.exe hxxp://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?source=lightinstaller&page=tsMain
RemoveDirectory: C:\AsusVibeData
RemoveDirectory: C:\MATS

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

 

POZOSTAŁE KONTA:

 

Skoro konta Dominik i Krzysztof są nieużywane, to je po prostu usuń z poziomu Panelu sterowania. Przy kasowaniu potwierdź usuwanie danych użytkownika, by foldery z C:\Users zostały również usunięte.